ICS Labs Outbreak Alert - Oracle EBS Vulnerabilidad Crítica (CVE 2025-61882)

Oracle EBS (E-Business Suite) está alertando sobre una vulnerabilidad crítica identificada como CVE-2025-61882, clasificada como crítica (CVSS 9.8), que afecta específicamente al componente Concurrent Processing con integración a BI Publisher en las versiones 12.2.3 hasta 12.2.14. Esta vulnerabilidad permite la ejecución remota de código (RCE) sin necesidad de autenticación, lo que posibilita que un atacante explote el sistema mediante solicitudes HTTP con poco esfuerzo técnico y obtenga control total del servidor afectado.

Explotación Activa y Amenaza Real:

Los informes recientes indican que la explotación comenzó de forma silenciosa en agosto, pero se intensificó en septiembre, con diversas organizaciones reportando incidentes graves. Existen indicios de que esta vulnerabilidad está siendo explotada activamente por el grupo de ransomware Cl0p, ampliamente conocido por ataques de extorsión de datos. En entornos corporativos que utilizan Oracle EBS expuesto a Internet, el riesgo de compromiso es elevado y puede derivar en exfiltración de información, movimiento lateral e interrupción de procesos críticos del negocio.

Cronología de la CVE:

04 de octubre de 2025: Divulgación y Clasificación Crítica

• Alerta de Oracle: Oracle emite el primer aviso de seguridad, reconociendo la vulnerabilidad.

• Publicación en el NVD: La National Vulnerability Database (NVD) de EE. UU. publica los detalles iniciales de la CVE.

• Escalamiento de la Gravedad: En pocas horas, la vulnerabilidad recibe una puntuación CVSS de 9.8, indicando máxima criticidad.

  
  

05 de octubre de 2025: Oficialización del Registro

• Registro de la CVE: El NVD recibe y oficializa el registro de la nueva CVE, remitida por Oracle.

  
  

06 de octubre de 2025: Confirmación de Explotación Activa

• Aviso del NCSC: El National Cyber Security Centre (NCSC) del Reino Unido emite un aviso formal indicando que la vulnerabilidad está siendo explotada activamente por actores maliciosos.

• Inclusión en el Catálogo de la CISA: La Cybersecurity and Infrastructure Security Agency (CISA) de EE. UU. añade la CVE-2025-61882 a su “Known Exploited Vulnerabilities Catalog”. Esta acción señala un riesgo inminente y comprobado para las organizaciones.

  
  

Recomendaciones:

Oracle publicó un parche de emergencia este mes; sin embargo, su aplicación requiere que el Critical Patch Update de octubre de 2023 esté previamente instalado, lo cual representa un impedimento para empresas que no mantienen sus entornos actualizados. Mientras no se aplique el parche, se recomienda restringir el acceso al sistema mediante firewall, implementar reglas específicas en Web Application Firewalls (WAF) y reforzar la monitorización de los servidores. La mitigación completa requiere revisión de la arquitectura, segmentación de red y monitorización continua para detectar posibles compromisos. La CVE-2025-61882 es más que una vulnerabilidad técnica es una advertencia sobre los riesgos de la negligencia en el mantenimiento de sistemas críticos. La respuesta rápida es esencial para proteger los activos corporativos y garantizar la continuidad del negocio. Los equipos de seguridad deben priorizar la investigación de indicadores de compromiso y reforzar sus estrategias de defensa.

IOCs:

Atención: Las direcciones IP mencionadas arriba pueden seguir activas. Actúe con precaución al manejarlas y no acceda a ellas directamente para evitar la exposición a contenido malicioso.